Nvidia aplasta la ejecución del código del controlador de pantalla, errores de fuga de información


Nvidia ha lanzado un conjunto de actualizaciones de seguridad para eliminar vulnerabilidades en el controlador de pantalla GPU Nvidia.

Esta semana, el gigante tecnológico publicó un aviso de seguridad para un total de seis errores en el controlador, que varían en severidad con puntajes CVSS de entre 5.5 y 7.8 e impactan tanto en máquinas Home windows como Linux.

La primera vulnerabilidad, CVE ‑ 2020‑5962, se encuentra en el componente Nvidia Manage Panel del controlador, en el que un atacante area puede corromper los archivos del sistema, lo que lleva a la denegación de servicio o escalada de privilegios.

Ver también: Fichas de inteligencia artificial en 2020: Nvidia y los retadores

CVE ‑ 2020‑5963 es el segundo error en cuestión, que se encuentra en las API de comunicación entre procesos del controlador CUDA. La falla de seguridad de acceso incorrecta puede explotarse para la ejecución de código, denegación de servicio o fugas de información.

El tercer problema, ahora resuelto, es CVE ‑ 2020‑5964: un mistake en el componente del host del servicio del controlador de pantalla puede provocar que se omitan las verificaciones de integridad de los recursos, lo que puede provocar la ejecución de código, la denegación del servicio o ataques de divulgación de información.

CVE ‑ 2020‑5965 también ha sido parcheado. El problema ocurre en el controlador de modo de usuario DirectX 11 del controlador de pantalla, en el que un «sombreador especialmente diseñado puede causar un acceso fuera de los límites, lo que lleva a la denegación de servicio», según Nvidia.

La compañía ha aprovechado la oportunidad para resolver también CVE ‑ 2020‑5966, una vulnerabilidad en la capa de modo kernel del controlador de pantalla de GPU basado en Home windows, en la que la desreferenciación de un puntero nulo podría ser armada para la escalada de privilegios o la denegación de servicio.

El error last, CVE ‑ 2020‑5967, se encontró en la versión de Linux del servicio UVM del conductor, en el que un mistake de condición de carrera podría conducir a la denegación de servicio.

Las vulnerabilidades tratadas en la actualización de seguridad afectan a las GPU GeForce, Quadro, NVS y Tesla en máquinas con Home windows y Linux.

CNET: Safari 14 te permitirá iniciar sesión en sitios internet con tu cara o dedo

También se ha reparado un conjunto separado de seis fallas de seguridad (CVE ‑ 2020‑5968, CVE ‑ 2020‑5969, CVE ‑ 2020‑5970, CVE ‑ 2020‑5971, CVE ‑ 2020‑5972 y CVE ‑ 2020‑5973) el complemento vGPU del software program Nvidia Virtual GPU Manager.

Entre los errores se encuentran los errores de restricción de límites, los problemas de validación de recursos y las fallas de búfer que se pueden abusar para llevar a cabo la ejecución del código, la manipulación del servicio, la escalada de privilegios y causar la denegación del servicio.

Estas vulnerabilidades afectan el program del controlador invitado vGPU de Windows y Linux, junto con Citrix Hypervisor, VMware vSphere, Red Hat Business Linux con KVM y Nutanix AHV.

TechRepublic: Los certificados de seguridad que caducan pueden comenzar a apagar dispositivos IoT

Nvidia agradeció a los investigadores de Cisco Talos, CyberArk Labs, Protected D Centre, así como a los profesionales independientes de ciberseguridad Sittikorn Sangrattanapitak y Thomas Carroll, por informar sobre varias de las vulnerabilidades.

Como siempre, se recomienda que los usuarios acepten actualizaciones automáticas para mitigar el riesgo de explotación. Se han puesto a disposición parches para cada mistake del controlador de pantalla, con la excepción de Tesla R450, que se lanzará la próxima semana. Las correcciones de software vGPU están disponibles para las versiones 8. a 9.3, mientras que los parches para la última versión de software – 10. – 10.2 – estarán disponibles en la semana del 6 de julio.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic